上周，不明攻擊者入侵通信服務(wù)公司Twilio的系統(tǒng)后，將Signal用戶作為攻擊目標(biāo)。

Twilio是一家云通信公司，為其他公司提供基礎(chǔ)設(shè)施，Twilio公司致力于幫助開發(fā)者在其應(yīng)用里融入電話、短信等功能，讓它們自動向用戶發(fā)送短信。通過入侵Twilio系統(tǒng)，黑客可以向受害者發(fā)送短信，并讀取他們的短信。這可能讓黑客有機會接管使用Twilio服務(wù)的任何受害者的電話號碼綁定的賬戶。

至關(guān)重要的是，Twilio為加密的消息應(yīng)用Signal提供文本驗證服務(wù)。當(dāng)用戶用Signal注冊他們的電話號碼時，Twilio會向他們發(fā)送一條包含驗證碼的短信，然后他們將驗證碼輸入到Signal。據(jù)使用Twilio發(fā)送帶有驗證碼的短信的Signal公司透露，它是這次攻擊的目標(biāo)之一。Signal特別指出，黑客攻擊了該公司約1900名用戶。這意味著，對于這些用戶來說，黑客可能已經(jīng)在他們自己的設(shè)備上注冊了他們的號碼并基本上冒充了他們，或者截獲了 Signal 用于注冊用戶的 SMS 驗證碼。

好消息是由于 Signal 的設(shè)計方式，即使黑客使用受害者的電話號碼注冊他們的帳戶，他們也無法訪問大量信息。

Signal目前對該攻擊的回復(fù)如下：

重要的是，這并沒有讓攻擊者獲得任何信息歷史記錄、個人資料或聯(lián)系人列表。消息歷史記錄只存儲在你的設(shè)備上，Signal不會保留它的副本。你的聯(lián)系人列表，個人信息，你已經(jīng)屏蔽的人，以及更多只能通過你的Signal PIN恢復(fù)，而在這次事件中，Signal PIN沒有(也不能)被訪問。但是，如果攻擊者能夠重新注冊帳戶，他們就可以從該電話號碼發(fā)送和接收 Signal 消息。

換句話說，黑客可以冒充受害者，但不會有他們的聯(lián)系方式或信息。

在攻擊者可以訪問 Twilio 的客戶支持系統(tǒng)的窗口期間，他們可能會嘗試使用SMS驗證碼將他們訪問的電話號碼注冊到另一臺設(shè)備。則攻擊者不再擁有這種訪問權(quán)限，并且攻擊已被 Twilio 關(guān)閉。

在這1900個電話號碼中，攻擊者搜索到了三個號碼，我們收到了其中一個受害者的投訴，稱他的賬戶已被重新注冊了。

根據(jù)投訴，黑客能夠在 13 小時內(nèi)接管受害者在 Signal 上的號碼。

美國東部時間8月7日(周日)凌晨2點43分，本文所講的其中一位受害者收到了一條短信:“你的信號驗證碼已被(修訂)。”當(dāng)他意識到發(fā)生了什么的時候，就立即通知了兩位數(shù)字安全專家朋友，并聯(lián)系了Signal。當(dāng)時還不清楚發(fā)生了什么。

那時，Twilio還沒有透露泄露的消息，Signal也沒有對受害者公開或私下說過任何事情，所以我們不知道發(fā)生了什么。受害者讓手機供應(yīng)商檢查他是否換了SIM卡，但沒有任何受到攻擊的跡象。受害者還查看了其所有的重要賬戶，看看是否有任何攻擊的跡象，但是，同樣，沒有任何攻擊或闖入的跡象。如果沒有 Signal 的調(diào)查結(jié)果，我們無法真正知道發(fā)生了什么。

根據(jù)調(diào)查，受害者無法立即進入其使用Signal的設(shè)備，直到美國東部時間當(dāng)天下午5:20才能重新注冊其賬戶。這意味著，在大約13個小時的時間里，黑客無法訪問受害者的聯(lián)系人或關(guān)于他的任何消息內(nèi)容，但他們可以在Signal上冒充受害者，給假裝是受害者的人發(fā)消息。

一旦重新注冊了帳戶，攻擊者就無法進行任何活動了，并阻止他們使用受害者的帳戶。然后，受惠者啟用了“注冊鎖定”(Registration Lock)功能，確保不會發(fā)生類似操作?！白枣i定”是一項信號功能，要求用戶用“注冊鎖定”(Registration Lock)注冊一個號碼，以提供用戶的PIN碼。此外，在這個案例中，因為受害者用Signal設(shè)置了個人密碼，黑客無法訪問其聯(lián)系人。

通過剛剛那個案例，我們要提醒用戶：要打開Signal的注冊鎖定功能，它可以防止黑客在沒有你的Signal PIN碼的情況下在他們的設(shè)備上注冊你的號碼。像Twilio被黑這樣的事件也提醒我們，依賴短信進行驗證的服務(wù)很容易受到攻擊。重要的是要盡可能啟用每一個安全功能。

通過該事件，讓人覺得可怕的不僅僅是Signal的影響。任何平臺或服務(wù)都可能被操縱，將驗證證書交給攻擊者。目前，盡管各種服務(wù)在我們經(jīng)過驗證后都采取了保護措施來保護我們的賬戶，但現(xiàn)在正是這些賬戶最容易被攻擊利用的時候。

如果你收到Signal發(fā)送的短信，其中包含這篇支持文章的鏈接，請按照以下步驟操作：

1.在你的手機上打開 Signal，如按照提示請重新注冊Signal 帳戶。

2.為了最好地保護你的帳戶，我們強烈建議在應(yīng)用程序的設(shè)置中啟用注冊鎖定。創(chuàng)建此功能是為了保護用戶免受 Twilio 攻擊等威脅。

本文翻譯自：https://www.vice.com/en/article/qjkvxv/how-a-third-party-sms-service-was-used-to-take-over-signal-accounts如若轉(zhuǎn)載，請注明原文地址。